if the MD5 I download matches the MD5 of the distrubition's website, does that mean the file has not been tampered with?
Provavelmente não foi adulterado. O MD5 tem ataques conhecidos, então não é tão bom quanto algo como SHA-1. Para algo como verificar se você tem o arquivo correto, o MD5 está ok.
Onde o MD5 não está correto é se você usar como hashes de senha armazenados. Sites e tal geralmente não querem armazenar sua senha, mas um hash dela - e então comparar a senha que você digita para entrar com um hash. Desta forma, eles não sabem sua senha. No entanto, se um hacker obtiver uma lista de contas com esses hashes, ele poderá gerar uma senha que, quando colocada no MD5, gerará o mesmo hash (isso é chamado de colisão de hash). Eu não tenho certeza de como tudo isso funciona, realmente, apenas que com colisões hash MD5 são possíveis e mais fáceis do que foram no passado.
O Bittorrent usa o SHA-1 para "saber" qual arquivo está sendo baixado e se as peças que os parceiros comercializam são boas ou não. Para que um par malicioso possa injetar dados ruins no enxame é improvável - mesmo que um par soubesse como quebrar o SHA-1, a maioria dos outros colegas também teria que cooperar. Você pode estar relativamente confiante de que ninguém no Bittorrent Swarm pode corromper o download, supondo que você tenha o arquivo .torrent
correto e que ele não tenha sido modificado maliciosamente para apontar para um rastreador diferente ou os hashes nele modificados.